Explication super détaillée du VLAN

Un: certains modèles

 

 

Deux: compréhension de l'adresse Mac

1. Adresse mac Unicast: utilisée pour identifier de manière unique une interface d'un périphérique, le bit le plus bas du premier octet est 02.

Adresse MAC de multidiffusion: identifie un groupe de périphériques. Le bit le moins significatif du premier octet de cette adresse Mac est 1.

3. Tous les bits de l'adresse mac de diffusion sont tous 1

Remarque: seules les adresses mac unicast peuvent être attribuées à une interface, et les adresses mac multicast ou de diffusion ne peuvent être attribuées à aucune interface Ethernet. En d'autres termes, ces deux types d'adresses mac ne peuvent pas être utilisées comme données L'adresse mac source de la trame, mais ne peut être utilisé que comme adresse mac de destination

Trois: trame de données Ethernet

 

Quatre: interface VLAN et types de liaison, principes et avantages de la transmission

1. Type de lien:

①: lien d'accès: connexion d'accès

②: lien de tronc: lien de tronc

2. Type d'interface:

①: interface d'accès

L'interface d'accès est généralement utilisée pour se connecter à des terminaux utilisateurs qui ne peuvent pas reconnaître les balises (telles que les hôtes d'utilisateurs, les serveurs, etc.), ou il n'est pas nécessaire de faire la distinction entre les différents

Utilisé lors de l'appartenance au VLAN. Il ne peut envoyer et recevoir que des trames non balisées et ne peut ajouter que des balises VLAN uniques aux trames non balisées.

②: interface de coffre

Les interfaces de jonction sont généralement utilisées pour connecter des commutateurs, des routeurs, des points d'accès et des terminaux vocaux qui peuvent envoyer et recevoir des trames étiquetées et non étiquetées en même temps

Il peut permettre à plusieurs trames VLAN de passer avec des balises, mais autorise uniquement une trame VLAN à être envoyée hors de ce type d'interface sans balises (c'est-à-dire que les balises sont supprimées).

③: interface hybride

L'interface hybride peut être utilisée pour connecter des terminaux utilisateur (tels que des hôtes utilisateur, des serveurs, etc.) et des périphériques réseau (tels que Hub,

Fool Switch), il peut également être utilisé pour connecter des commutateurs, des routeurs et des terminaux vocaux et des points d'accès pouvant envoyer et recevoir des trames étiquetées et non étiquetées en même temps

④: interface QinQ

L'interface QinQ (802.1Q-in-802.1Q) est une interface qui utilise le protocole QinQ, et est généralement utilisée pour la connexion entre le réseau privé et le réseau public. Il peut ajouter des balises doubles à la trame, c'est-à-dire ajouter une nouvelle balise à la trame en fonction de la balise d'origine, qui peut prendre en charge jusqu'à 4094 × 4094 VLAN pour répondre à la demande du réseau pour le nombre de VLAN. La balise externe est généralement appelée balise de réseau public, qui est utilisée pour identifier le VLAN du réseau public; la balise interne est généralement appelée balise de réseau privé, qui est utilisée pour identifier le VLAN du réseau privé.

3. Principe de transmission

 

4. Avantages:

La technologie VLAN est une technologie très importante et très basique dans le domaine de la commutation de couche 2. Elle peut apporter de nombreux avantages au réseau, tels que:

1. · Isoler la diffusion: lorsque le commutateur déploie le VLAN, l'inondation des données de diffusion est limitée au VLAN. L'utilisation de la technologie VLAN peut couper le réseau d'un vaste domaine de diffusion en plusieurs domaines de diffusion plus petits, réduisant ainsi la perte de ressources de bande passante et les performances des équipements causées par l'inondation.

2. Améliorez la flexibilité de la formation du réseau: la technologie VLAN rend la conception et le déploiement du réseau plus flexibles. Les utilisateurs d'un même groupe de travail n'ont plus besoin d'être confinés au même emplacement géographique.

3. Améliorez la gérabilité du réseau: en planifiant différents services sur différents VLAN et en attribuant différents segments de réseau IP, chaque service est divisé en unités indépendantes, ce qui facilite grandement la gestion et la maintenance du réseau.

4. · Améliorer la sécurité du réseau: grâce à la technologie VLAN, différents services peuvent être isolés sur la deuxième couche. Étant donné que différents VLAN sont isolés les uns des autres, lorsqu'un VLAN échoue, par exemple, une usurpation ARP se produit dans un certain VLAN, les autres VLAN ne seront pas affectés.

5. La connexion entre le commutateur et le routeur

Si le routeur n'a pas de sous-interface à ce stade, nous définissons le lien entre le routeur et le commutateur comme accès, mais si le routeur est configuré avec une sous-interface, nous devons le configurer comme un tronc ou un hybride La différence entre les deux est que la sous-interface doit traiter les trames balisées

6. Types de VLAN

Échec du réimportation et de l' annulation

7. Quelques configurations de base

1. Configurez Proxy ARP dans et entre les VLAN

①. Dans VLAN:

Lorsque l'isolation de port est configurée dans un VLAN, les utilisateurs appartenant au même VLAN ne peuvent pas communiquer entre eux. L'activation de la fonction Proxy ARP dans le VLAN sur l'interface associée au VLAN peut réaliser une intercommunication de couche 3 entre les utilisateurs.

// Configurer la ligne de commande c interface vlanif 10 // Entrer dans la vue d'interface arp-proxy inner-sub-vlan-procy enable // Activer Proxy ARP dans le VLAN

 

②. Entre les VLAN:

Lorsque les utilisateurs appartenant au même segment de réseau mais appartenant à des VLAN différents doivent réaliser l'interfonctionnement de couche 3, vous pouvez activer la fonction ARP proxy inter-VLAN sur l'interface associée au VLAN. Par exemple, activez la fonction Proxy ARP inter-VLAN sur l'interface VLANIF correspondant au Super-VLAN pour réaliser la communication utilisateur inter-sous-VLAN.

// Configurer la ligne de commande c interface vlanif 10 // Entrer dans la vue d'interface arp-proxy inter-sub-vlan-procy enable // Activer Proxy ARP dans le VLAN

2. Configurez le vlan en fonction de l'adresse IP

 

Configurez le VLAN100 sur le commutateur pour qu'il s'associe à l'adresse IP 192.168.1.2, avec une priorité de 2.

[Quidway] vlan 100

[Quidway-vlan100] ip-subnet-vlan 100 ip 192.168.1.2 24 priorité 2

// Exécute cette commande pour associer le segment de réseau IP 192.168.1.2 24 au vlan 100, afin que les paquets envoyés depuis ce segment de réseau puissent être transmis dans vlan100

[Quidway-vlan100] quitter

[Quidway-GigabitEtherner0 / 0/0] ip-subnet-vlan enable

// Cette commande permet d'activer la fonction de division du VLAN en fonction de l'adresse IP. Cette commande ne peut être utilisée que sur les interfaces hybrides.

 

3. Assurez-vous de créer le vlan correspondant sur le commutateur. Si le vlan correspondant n'est pas créé, la trame portant l'identifiant du vlan ne sera pas transférée sur le commutateur.

 

8.MUX VLAN

1. Origines:

MUX VLAN (Multiplex VLAN) fournit un mécanisme de contrôle des ressources réseau via le VLAN.

Par exemple, dans un réseau d'entreprise, les employés de l'entreprise et les clients d'entreprise peuvent accéder au serveur d'entreprise. Pour les entreprises, on espère que les employés de l'entreprise pourront communiquer entre eux, tandis que les entreprises clientes sont isolées et ne peuvent pas se rendre visite.

Afin de réaliser que tous les utilisateurs peuvent accéder au serveur d'entreprise, cela peut être réalisé en configurant la communication inter-VLAN. Si l'entreprise est grande et compte un grand nombre d'utilisateurs, les VLAN doivent être alloués aux utilisateurs qui ne peuvent pas accéder les uns aux autres. Cela nécessite non seulement beaucoup d'ID de VLAN, mais augmente également la charge de travail des administrateurs réseau et augmente également la quantité de maintenance .

Le mécanisme d'isolation du trafic de couche 2 fourni par MUX VLAN peut réaliser la communication entre les employés au sein de l'entreprise, tandis que les clients de l'entreprise sont isolés.

2. Concepts de base:

MUX VLAN est divisé en VLAN principal et VLAN secondaire, et le VLAN secondaire est divisé en VLAN secondaire isolé et VLAN secondaire interopérable

①: vlan principal

VLAN principal (VLAN principal): Le port principal peut communiquer avec toutes les interfaces du MUX VLAN.

②: à partir de vlan

1) VLAN esclave isolé (VLAN séparé): le port séparé ne peut communiquer qu'avec le port principal et est complètement isolé des autres types d'interfaces.

Chaque VLAN secondaire isolé doit être lié à un VLAN principal.

2) VLAN esclave d'interfonctionnement (VLAN de groupe): le port de groupe peut communiquer avec le port principal, et les interfaces du même groupe peuvent également communiquer entre elles, mais ne peuvent pas communiquer avec d'autres interfaces de groupe ou des ports séparés.

Chaque VLAN secondaire interopérable doit être lié à un VLAN principal.

3. Configuration:

①: Questions nécessitant une attention particulière:

• Si le VLAN spécifié a été utilisé dans le VLAN principal ou le VLAN secondaire, le VLAN ne peut plus être utilisé pour créer une interface VLANIF, ou utilisé dans la configuration du mappage VLAN, de l'empilement VLAN, du Super-VLAN et du sous-VLAN.

• La désactivation de la fonction d'apprentissage d'adresse MAC d'interface ou la limitation du nombre d'apprentissage d'adresse MAC d'interface affectera l'utilisation normale de la fonction MUX VLAN.

• Les fonctions de sécurité MUX VLAN et d'interface ne peuvent pas être configurées sur la même interface.

• Les fonctions d'authentification MUX VLAN et MAC ne peuvent pas être configurées sur la même interface.

• Les fonctions d'authentification MUX VLAN et 802.1x ne peuvent pas être configurées sur la même interface.

• Lorsque DHCP Snooping et MUX VLAN sont configurés en même temps, si le serveur DHCP est du côté VLAN secondaire du MUX VLAN et que le client DHCP est du côté VLAN principal, le client DHCP ne pourra pas obtenir d'adresse IP en temps normal. Par conséquent, veuillez configurer le serveur DHCP du côté VLAN principal.

• Une fois la fonction MUX VLAN activée sur une interface, le mappage VLAN et l'empilement VLAN ne peuvent pas être configurés sur l'interface.

②: commande de configuration

<SW> dis configuration-actuelle

#

sysname SW

#

lot vlan 10 20 30

#

vlan 10

mux-vlan // Configurer vlan 10-bit MUX valn

subordonné séparé 30 // Configurez le VLAN secondaire isolé

groupe subordonné 20 // Configurer le VLAN esclave interopérable

#

interface GigabitEthernet0 / 0/1

accès de type lien de port

port par défaut vlan 20

port mux-vlan enable // Active la fonction MUX VLAN de l'interface.

#

interface GigabitEthernet0 / 0/2

accès de type lien de port

port par défaut vlan 20

activer le port mux-vlan

#

③: Questions nécessitant une attention particulière

Remarque: La commande port mux-vlan enable vlan 3 n'est temporairement pas prise en charge sur le simulateur ensp. Lorsque mux vlan est sur plusieurs périphériques, il doit être configuré sur le tronc de l'interface d'interconnexion du commutateur, port mux-vlan enable vlan 3. Activez mux vlan sur le coffre. Généralement déployé au niveau de la couche de convergence.

Dans l'expérience ci-dessus, cette commande ne peut pas être configurée. Par conséquent, un vlan isolé sur plusieurs appareils peut également communiquer. Par exemple, PC3 et PC7 peuvent communiquer.

9. Agrégation VLAN

1. Vue d'ensemble:

L'agrégation VLAN (VLAN Aggregation, également connue sous le nom de Super VLAN) fait référence à l'utilisation de plusieurs VLAN (appelés sous-VLAN) pour isoler le domaine de diffusion au sein d'un réseau physique et agréger ces sous-VLAN dans un VLAN logique (appelé Super-VLAN ). VLAN), ces sous-VLAN utilisent le même sous-réseau IP et la même passerelle par défaut.

En introduisant les concepts de Super-VLAN et de sous-VLAN, chaque sous-VLAN correspond à un domaine de diffusion, et plusieurs sous-VLAN sont associés à un Super-VLAN, et un seul sous-réseau IP est attribué au Super-VLAN. - Les VLAN utilisent le sous-réseau IP du Super-VLAN et la passerelle par défaut pour la communication de couche 3.

De cette manière, plusieurs sous-VLAN partagent une adresse de passerelle, enregistrant le numéro de sous-réseau, l'adresse de diffusion directionnelle de sous-réseau et l'adresse de passerelle par défaut du sous-réseau, et la limite entre chaque sous-VLAN n'est plus la limite de sous-réseau précédente. plage d'adresses dans le sous-réseau correspondant du Super-VLAN en fonction du nombre d'hôtes requis par chacun, garantissant ainsi que chaque sous-VLAN est utilisé comme un domaine de diffusion indépendant pour réaliser l'isolation de diffusion, économiser les ressources d'adresse IP et améliorer la flexibilité d'adressage.

2. Principe:

L'agrégation VLAN définit le Super-VLAN et le sous-VLAN de sorte que le sous-VLAN ne contienne que des interfaces physiques et soit responsable de conserver des domaines de diffusion séparés; Super-VLAN ne contient pas d'interfaces physiques et n'est utilisé que pour établir des interfaces VLANIF de couche 3. Ensuite, grâce à l'établissement de la relation de mappage entre Super-VLAN et sous-VLAN, l'interface VLANIF à trois couches et l'interface physique sont organiquement combinées pour réaliser que tous les sous-VLAN partagent une passerelle pour communiquer avec le réseau externe et utiliser ARP Proxy pour réaliser la sous-communication La communication à trois couches entre les VLAN permet de sauvegarder les adresses IP tout en réalisant l'isolement des domaines de diffusion des VLAN ordinaires.

• Sous-VLAN: contient uniquement des interfaces physiques et ne peut pas établir d'interface VLANIF à trois couches pour isoler le domaine de diffusion. La communication de couche 3 entre l'hôte de chaque sous-VLAN et l'extérieur est réalisée par l'interface VLANIF de couche 3 du Super-VLAN.

• Super-VLAN: établissez uniquement l'interface VLANIF à trois couches, à l'exclusion de l'interface physique, et correspondent à la passerelle de sous-réseau. Différent du VLAN ordinaire, le Up de son interface VLANIF ne dépend pas du Up de sa propre interface physique, mais tant qu'il y a une interface physique Up dans le sous-VLAN qu'il contient.

Un Super-VLAN peut contenir un ou plusieurs sous-VLAN. Le sous-VLAN n'occupe plus un segment de sous-réseau indépendant. Dans le même Super-VLAN, quel que soit le sous-VLAN auquel l'hôte appartient, son adresse IP se trouve dans le segment de sous-réseau correspondant au Super-VLAN.

3. Communication entre sun-vlan

Bien que l'agrégation de VLAN réalise que différents VLAN partagent la même adresse de segment de sous-réseau, elle pose également des problèmes au transfert de couche 3 entre les sous-VLAN. Dans un VLAN commun, les hôtes de différents VLAN peuvent communiquer au niveau de la couche 3 via leurs différentes passerelles. Cependant, dans le Super-VLAN, tous les hôtes du sous-VLAN utilisent la même adresse de segment de réseau et partagent la même adresse de passerelle. L'hôte ne fera que le transfert de couche 2 et n'enverra pas la passerelle au transfert de couche 3. Autrement dit, en fait, les hôtes de différents sous-VLAN sont isolés les uns des autres au niveau de la deuxième couche, ce qui pose le problème de l'incapacité de communiquer entre les sous-VLAN.

La solution à ce problème consiste à utiliser Proxy ARP.

4. Configuration:

①: Questions nécessitant une attention particulière:

• VLAN1 ne peut pas être configuré en tant que Super-VLAN.

• Après avoir configuré un VLAN en tant que super-VLAN, le type de VLAN est changé en super, et aucune interface physique n'est autorisée à rejoindre le VLAN.

• La politique de flux prend effet uniquement lorsqu'elle est configurée sous tous les sous-vlans de Super-vlan, et configurée sous Super-vlan ne prend pas effet.

• Après avoir configuré un VLAN comme VLAN de terminaison d'une sous-interface, le VLAN ne peut pas être configuré en tant que Super-VLAN ou Sub-VLAN.

• Le proxy ARP ne peut prendre effet qu'après la configuration de l'interface VLANIF correspondant au Super-VLAN avec une adresse IP.

 

②：命令：

[SW]dis current-configuration

#

sysname SW

#

vlan batch 10 20 100

//批量创建VLAN

#

vlan 100

aggregate-vlan//创建聚合VLAN

access-vlan 10 20//将valn10 20 添加进聚合和VLAN

#

interface Vlanif100

ip address 10.0.100.254 255.255.255.0

arp-proxy inter-sub-vlan-proxy enable

//开启VLAN间ARP代理，实现VLAN间通信

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

#